クレデンシャル・フィッシング：その正体と防止策

クレデンシャル・フィッシングは、特定の種類のフィッシングである。 フィッシング このタイプのクレデンシャル窃盗は、一般的なフィッシングのサブセットであり、より広範には、クレジットカードや銀行口座の詳細、社会保障番号、貴重な組織情報など、さまざまな種類の機密情報を窃盗しようとするものである。この種のクレデンシャル盗難は、一般的なフィッシングのサブセットであり、より広範には、クレジットカードや銀行口座の詳細、社会保障番号、顧客データや知的財産などの貴重な組織情報など、さまざまな種類の機密情報を盗もうとする。

クレデンシャル・フィッシングは、控えめに言っても問題が大きくなっている。 703%によるクレデンシャル・フィッシングの増加 2024年後半には、Eメールベースのフィッシング詐欺の脅威が202%増加すると予測されています。(202%の増加が比較的低いと考えられる時点で、大きな問題があることがわかる)。この大幅な増加は、複合的な要因によるものである：

• AIを駆使したフィッシング攻撃 これにより、サイバー犯罪者はこれまで以上に簡単に、ユーザーを偽のクレデンシャル要求に引っかからせるような説得力のあるメッセージを作成できるようになる。
• ソーシャル・エンジニアリング, フィッシング・メッセージのリンクをクリックするようユーザーをだますのに非常に効果的であったこの手法は、クレデンシャル・フィッシングにおいてもますます重要な役割を果たしている。
• マルチチャンネル クレデンシャル・フィッシング（電子メールだけでなく、SMS、ソーシャルメディア、コラボレーション・プラットフォームを利用すること）は、攻撃者の攻撃範囲を拡大する。

上記のすべては、クレデンシャル盗難が長い間、そして現在も続いているという事実の中で起きている。 ローエフォート・ハイリターン 攻撃の種類

良いニュースクレデンシャル・フィッシング攻撃が増加している一方で、フィッシングを防止するための組織のセキュリティ対策も増加しています。 パスワードレス認証 また、 多要素認証（MFA） からAIを活用した防御ツールまで、さまざまな方法があります。クレデンシャル・フィッシングが時間とともにどのように進化してきたか、この種の攻撃で最もよく使われる手口、そしてクレデンシャル・フィッシングに対抗するために利用可能なツールや戦略について、続きをお読みください。

1990年代半ば： アメリカの 最も早いクレデンシャル・フィッシング 1990年代半ば、詐欺師がAOLの従業員になりすましてユーザーを騙し、ログイン認証情報を漏えいさせたのが始まりのようだ。彼らの目的は単にインターネット接続料金の支払いを避けることであったようだが、彼らの行為は、将来のより巧妙で破壊的、そして高額な詐欺への道を開くものであった。

2000年代前半： 2000年代前半のクレデンシャル・フィッシングは、まだ比較的素朴なものが多く、ログイン認証情報を共有させるために単純化され、大量生産されたメッセージに頼ることが多かった。 2003年はシフトの始まり 攻撃者がeBayやPayPalのような正規のサイトとほぼ同じバージョンを作成し、ユーザーを騙して認証情報を入力させるようになった時、このパターンが始まった。

2010-2020: スピアフィッシングは2010年代に登場し、特に組織レベルでのクレデンシャル盗難を一変させた。このフィッシングは、HR、請求書作成、ITサポートなどの重要な部門を装い、巧妙に作成されたメッセージで特定の人々を標的にする。 ビジネスメール侵害（BEC） はソーシャル・エンジニアリング攻撃の一種であり、極めて巧妙ななりすましメール（Cレベルの幹部からの偽の依頼など）を使ったフィッシングにより、受信者を標的として、その組織の誰かに返信しているかのように騙すものである。

2020年-現在 今日のクレデンシャル・フィッシングは、ますますその可能性が高まっている。 AI主導, これにより攻撃者は、文法的に完璧で、文脈に完璧に対応し、これまで以上に本物らしく見えるフィッシング・メールを作成できるようになる。ジェネレーティブAIはまた、このような新しい、より説得力のあるメッセージを驚くほど迅速かつ簡単に作成することを可能にしている。 IBM, ジェネレーティブAIを使えば、詐欺師は（手作業で何時間もかかるところを）わずか5分で効果的なメッセージを作成できる。

クレデンシャル・フィッシングでは、攻撃者は通常、信頼できる情報源（ユーザーの雇用主、銀行、または頻繁に使用するウェブサイトなど）になりすまして、ユーザーに電子メール、テキスト、またはその他のタイプのメッセージを送信し、その結果、クレデンシャルが漏洩するような行動を取らせることを目的とする。この一般的な枠組みの中で、攻撃者はさまざまな戦術を使用してクレデンシャル・フィッシング攻撃を行うことができます：

詐欺メール

多くのクレデンシャル・フィッシング攻撃の典型的な入口は、欺瞞的な電子メールである。この種の電子メールは、受信者が信頼している情報源から発信されているように見えるため、疑惑を持たれにくいため、クレデンシャル・フィッシングの手段として頻繁に成功する。電子メールによるコミュニケーションが本物であればあるほど、送信者はその信頼を悪用しようとする試みに成功する可能性が高くなる。

欺瞞的な通信を使用するクレデンシャル・フィッシング攻撃の特徴は以下のとおりである：

• なりすまし：受信者がすでに知っている正当な送信元からの通信のように見せかける。
• 説得：件名や最初の数語は、緊急性、恐怖、あるいは好奇心などの反応を引き起こすように書かれている。サイバー犯罪者は緊急性を好むため、ユーザーが行動を起こすべきかどうかをじっくり検討するよりも、すぐに反応するよう促す傾向がある。
• 欺瞞：メッセージは、極めて緊急な行動をとる必要性が存在しないことを強調している。
• 行動可能性：フィッシングメールは、次のステップに進みやすいリンクや添付ファイルを含む傾向があります。
• さらに騙す：受信者のアクションが偽のログインページに誘導され、そこで認証情報が取得される。

偽のログインページ 

偽のログインページは、組織環境におけるクレデンシャル・フィッシング攻撃で最もよく使われるツールの1つです。フィッシングに強いMFAを持たない組織では、非常に効果的です。

偽のログインページを使った攻撃は、まず攻撃者が偵察を行って、組織が一般的に使用しているプラットフォームのサービス（Microsoft 365やGoogle Workspaceなど）や、組織の電子メールのフォーマットやブランディングがどのようなものかを調べることから始まります。そこから攻撃者は、社内の部署や既知のベンダーからのものであるように見せかけ、緊急性を喚起する件名（「Password Expiring-Immediate Action Required」または「Your Invoice Is Ready-View Securely」）や偽のログインページへの目立つリンクを含むクレデンシャルフィッシングメールを作成することができます。

従業員がリンクをクリックし、ログインページと称するページで認証情報を入力すると、その認証情報は攻撃者に転送され、攻撃者はその認証情報を使って組織のシステムにログインし、ネットワークを通じてデータの流出、マルウェアの仕込み、さらなるBEC攻撃の開始、侵害されたアカウントからのフィッシングなどを行うことができます。

マルチチャンネル戦術

電子メールベースのクレデンシャル・フィッシングに対するユーザーの認識と防御能力が高まるにつれ、攻撃者は以下のような他の攻撃手段に手を広げている：

• スミッシング（SMSフィッシング） は、偽のログインアラート、荷物追跡通知、二要素認証プロンプトをテキストで送信し、ユーザーを誘い込んでリンクをクリックさせるために使用することができます。
• ビッシング（音声フィッシング） ヘルプデスクやITサポート・チームを装い、ユーザーをフィッシング・サイトに誘導する電話である。
• コラボレーション・プラットフォームからのフィッシング は、Slack、Teams、LinkedIn、またはその他のプラットフォーム上のメッセージを使って、ユーザーに偽のリンクをクリックさせたり、仕事関連のコンテンツに見せかけた添付ファイルをダウンロードさせたりする。
• QRコードフィッシング QRコードを使用することで、従来のリンク・スキャン・フィルターを回避することができる。

クレデンシャル・スタッフィング

クレデンシャル・スタッフィングは、サイバー犯罪者が盗んだ大量のクレデンシャルを使用して複数のサイトでログインを試みるもので、クレデンシャル・フィッシングと連動してクレデンシャル・フィッシングの被害を最大化する手口です。この2つは、クレデンシャルフィッシングによってクレデンシャルを取得し、ターゲット全体に適用するレイヤー型攻撃で一緒に使用することができます。

例えば、攻撃者はMicrosoft 365アカウントのログイン認証情報をフィッシングし、認証情報スタッフィングを使用して、Microsoftの認証情報を他のさまざまなサイトやサービス（例えば、Salesforce、Google（メール、ドキュメント、パスワード・マネージャー））で試すことができる。攻撃者は基本的に、誰かが複数のサイトにわたって同じ認証情報を使用していることに賭けているのです。

パスワード噴霧 

クレデンシャル・スタッフィングと同様に、パスワード・スプレーイングはクレデンシャル・フィッシングと組み合わせて使用され、フィッシング攻撃の範囲と成功を最大化する。このタイプのスキームでは、攻撃者は以下のことを行います：

1. クレデンシャル・フィッシングによってユーザー名のリストを収集する。
2. ユーザー名と推測しやすいパスワード（password123やwelcome123など）を組み合わせて、複数のアカウントへのアクセスを試みる。

パスワード・スプレーが機能する最も明白な理由は、パスワード衛生の弱さを悪用することである。もし人々が推測しやすいパスワードを使わなければ、この手口はそう遠くないだろう。また、高度な監視ツールがなければ、大規模に検知することは難しい。

フィッシングの精度検証

2025年、精密検証フィッシングが出現 攻撃者がフィッシングによって盗んだ認証情報が実際に有効なオンライン・アカウントに関連付けられていることを確認するための方法として。統合されたAPIまたはJavaScriptを使用し、フィッシングが行われる前にリアルタイムでメールアドレスを確認する。Prevision-validatedフィッシングは、不正確な認証情報を使用しようとする労力やエネルギーをほとんど無駄にすることなく、認証情報フィッシングをはるかに効率的かつ正確に行うことができます。

クレデンシャル・フィッシングは、組織に多大な損害を与える可能性がある。その IBM データ侵害のコスト・レポート によると、フィッシングはデータ漏洩の最も頻繁で最もコストのかかる原因の1つであり、平均$488万ドルのコストがかかり、封じ込めに平均261日を要した。

しかし、クレデンシャル・フィッシング防止は、クレデンシャル・フィッシングの試みが決して遠くへ行かないようにするのに役立ちます。RSAは、クレデンシャル・フィッシング防止に関連する主要分野で幅広い製品とサービスを提供しています。

パスワードレス認証

当たり前のことのように聞こえるかもしれないが、この点を指摘しておく必要がある：盗むべきクレデンシャルがなければ、盗まれたクレデンシャルに依存するサイバー犯罪は機能しない。それが パスワードレス認証 クレデンシャル・フィッシングを阻止する上で、この上ない価値がある。

メンバーとして FIDOアライアンス, RSAは、より少ないパスワードと、パスワードに関連するセキュリティ問題の少ない世界を構築するための支援に専心しています。RSAのパスワードレス認証は、クレデンシャルベースの攻撃に対して特に脆弱なIDライフサイクルのポイントにおいて、最も重要なアクセスを保護します。RSAは、99.99%の可用性を備えたパスワードレスを提供します。 ハイブリッドフェイルオーバー ネットワーク接続がなくても認証が可能で、以下の機能を提供する。 幅広いパスワードレスオプション:

• ワンタイムパスワード（OTP）
• パスキー（モバイル・パスキーを含む
• 承認プッシュのようなアプリベースのオプション
• バイオメトリクス

フィッシングに強いMFA

パスワードレス認証が、クレデンシャル・フィッシングが盗もうとしているクレデンシャルを取り除くのと同じように、フィッシング耐性MFAは、クレデンシャルが盗まれるメカニズムであるフィッシングを取り除く。

RSA iShield Key 2 シリーズ認証システム は、特にクレデンシャルベースの攻撃から保護するように設計されており、フィッシングに強いハードウェアベースのMFAを実現し、FIPS 140-3レベル3認定の暗号モジュールとAAL3ハードウェア認証を組み込んでいます。RSA iShieldシリーズのメリットは以下のとおりです：

• 暗号セキュリティに関する最新の連邦規格への準拠
• ゼロ・トラスト・アーキテクチャを推進するアイデンティティ・セキュリティ機能
• 安全で摩擦のないパスワードレスな旅を実現するFIDO2認証
• パスキーの柔軟な展開と管理

IDプロバイダーによるシングルサインオン

複数のサイトやサービスへのログインに ID プロバイダの集中型認証サービスを使用す ることは、攻撃者の潜在的な侵入口が数百から 1 つに劇的に減少することを意味する。

RSAマイページ は、ユーザーが重要なアプリケーションやその他のリソースへのアクセスを、単一の便利なポータルを通じて迅速かつ安全に管理できるようにするクラウドホスト型のSSOソリューションです：

• 1つの認証情報で複数のアプリケーションに素早くアクセス可能
• 便利な認証子の自己登録とクレデンシャルの自己管理
• ヘルプデスクスタッフやIT管理者の負担を軽減し、コストを最小化
• ヘルプデスクのサポートが必要な場合の待ち時間の短縮

パスキー

Passkeyは、ユーザーがパスワードを入力することなくウェブサイトやアプリケーションにログインする方法を提供します。これにより、ログインプロセスがより安全に（パスワードを盗まれることがない）、より便利に（パスワードを覚えておく必要がない）なります。Passkeyは、パスワードのように再利用されることがなく、フィッシングにも強い（偽のウェブサイトに騙されてサインインする可能性がなくなる）ため、パスワードよりもはるかに安全です。

RSA Authenticatorアプリのパスキー は、パスワードレスでフィッシングに耐性のある認証を、ユーザーのモバイル・デバイスに直接配信します。このパスキー機能は

• ソーシャル・エンジニアリングとクレデンシャル・フィッシングに対応することで、ゼロ・トラストをサポートします。
• 以下の規制要件への適合を支援する。 フィッシングに強いMFA
• 既存のIT環境に容易に統合可能
• デバイスにバインドされるため、デバイスから離れることがなく、可能な限り最高のセキュリティを確保します。

ゼロトラスト 

ゼロ・トラストはフィッシングと闘う なぜなら、組織のリソースにアクセスしようとする人々の信頼性を、組織が常に検証する環境を作り出すからである。に従って運営される組織は ゼロ信頼の原則 これにより、認証情報をフィッシングしようとする悪質な行為者が侵入する方法を見つけたり、認証情報を越えて横方向に移動して権限を昇格させたりすることが、はるかに困難になる。

RSAがゼロ・トラストをサポート は、NIST ゼロ・トラスト・フレームワークで作業するための基本であるアイデンティティおよびアクセ ス管理（IAM）のコンポーネントを提供する。これらには以下が含まれます：

• MFA
• アイデンティティ・ガバナンスと管理（IGA）
• リスクベースの分析
• 役割ベースのアクセス
• 属性ベースのアクセス

AI（人工知能）

AIは、クレデンシャル・フィッシング攻撃を行うサイバー犯罪者にとって有益である一方、クレデンシャル・フィッシングを阻止しようと闘う相手側にとっても非常に貴重な存在である。によると 2025 RSA ID IQレポート, 調査対象となった組織のうち78%が、サイバーセキュリティ・スタックに自動化、機械学習、またはその他の何らかの形態のAIを導入する計画を早急に立てていると回答した。

RSAは、認証とアクセス管理におけるAI主導の機能を開発し、組織がクレデンシャル・フィッシング攻撃を検出、対応、防止できるようにしました：

• RSAリスクAI 行動分析学と機械学習を用いてフィッシングベースのアカウント乗っ取りを検知するため、ITチームは被害が発生する前に対処することができる。

RSAガバナンスとライフサイクル AIを使用してアクセス要求の異常を検出し、潜在的に危険なアクセスが許可されるのを防ぐために必要な情報を管理者に提供する。

今後のクレデンシャル・フィッシングには、AI、ディープフェイク・テクノロジー、高度なソーシャル・エンジニアリングが関与する可能性が高いと、ある研究者は指摘する。 最近の報告書.サイバー犯罪者たちが、このような手口やその他の先端技術や新技術を駆使した手口で成功を収めてきたことを考えれば、驚くには当たらない。

しかし、良いニュースは、攻撃を撃退する努力の中でAIやその他のテクノロジーを適用することに同じように専念している組織とますます対決することになるということだ。

今日、クレデンシャル・フィッシングの潜在的な被害者は、フィッシングに強いMFAやパスワードレス・ソリューションの採用、ゼロトラストへの取り組み、AIにはAIで対抗するなど、自衛策を講じて反撃している。その 2025 RSA ID IQレポート それによると、回答者の80%が、今後5年間でAIが組織のサイバーセキュリティを支援すると考えている一方、その間にAIが脅威を引き起こす可能性が高まると感じているのはわずか5分の1であった。

あなたの組織がクレデンシャル・フィッシングと戦い続けるとき、以下のような機能を備えたRSAをお役立てください。 パスワードレス認証 (パスキーを含む)、AIが支援するフィッシングに強いMFA、SSOを含むセキュリティ第一のユーザー環境に展開され、今日サイバー防衛に不可欠であり、将来も重要であり続けるゼロ・トラスト原則への全体的なコミットメントに統合されている。